[RESOLU] Mauvaise config iptables ?

Support Debian
#1

Bonjour à toutes et à tous

Je reviens vers vous car après avoir essayé de trouver les réponses tout seul je n’y suis pas arrivé :confused:
Quand je branche mon serveur entre ma box et mon switch je n’arrive pas à accéder à internet.
Si je vous montre mes configs l’un d’entre vous pourrait m’aider à résoudre mon problème svp ?

En regardant avec la commande suivante : iptables -L -v -n
voila ce que j’obtiens :

[code]Chain INPUT (policy DROP 738 packets, 216K bytes)
pkts bytes target prot opt in out source destination
16 1672 ACCEPT 0 – lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0
723 52039 ACCEPT 0 – * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
1 52 ACCEPT tcp – * * 192.168.1.10 0.0.0.0/0 tcp dpt:22

Chain FORWARD (policy DROP 781 packets, 46816 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT 0 – * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0
16 808 ACCEPT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
[/code]

#2

Tu as activé l’ip forwarding ?

#3

Malheureusement je ne serais te répondre.
Je peu le voir dans l’un des fichiers suivant ?
/etc/init.d/mon_parfeu
/etc/mon_parfeu
Je devrais y trouver une ligne du quelle genre ?

#4

je vais répondre tout seul : oui je l’ai activée.

[code]#!/bin/sh

chargement/d�chargement d’iptables

echo 1 > /proc/sys/net/ipv4/ip_forward
[/code]

#5

Plus clair, donne la réponse de :

iptables-save

#6

Je me doutais bien que cela n’aurais pas suffi ^^

[code]root@root:~# iptables-save

Generated by iptables-save v1.3.6 on Fri Feb 13 15:01:00 2009

*filter
:INPUT DROP [1561:737628]
:FORWARD DROP [830:49728]
:OUTPUT ACCEPT [879:158034]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.1.10 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.10 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.1.10 -p tcp -m tcp --dport 135 -j ACCEPT
-A INPUT -s 192.168.1.10 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.1.10 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.1.10 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1863 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6891 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6892 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth2 -o eth1 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.10 -i eth1 -p tcp -m tcp --dport 3727 -j ACCEPT
-A FORWARD -d 192.168.1.18 -i eth1 -p tcp -m tcp --dport 3728 -j ACCEPT
-A FORWARD -d 192.168.1.10 -i eth1 -p tcp -m tcp --dport 3729 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT

Completed on Fri Feb 13 15:01:00 2009

Generated by iptables-save v1.3.6 on Fri Feb 13 15:01:00 2009

*nat
:PREROUTING ACCEPT [2314:768547]
:POSTROUTING ACCEPT [40:7111]
:OUTPUT ACCEPT [34:6803]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT

Completed on Fri Feb 13 15:01:00 2009

Generated by iptables-save v1.3.6 on Fri Feb 13 15:01:00 2009

*mangle
:PREROUTING ACCEPT [3257:849176]
:INPUT ACCEPT [2382:797127]
:FORWARD ACCEPT [846:50536]
:OUTPUT ACCEPT [919:163242]
:POSTROUTING ACCEPT [1077:186404]
COMMIT

Completed on Fri Feb 13 15:01:00 2009

Generated by iptables-save v1.3.6 on Fri Feb 13 15:01:00 2009

*raw
:PREROUTING ACCEPT [3258:849216]
:OUTPUT ACCEPT [923:163834]
COMMIT

Completed on Fri Feb 13 15:01:00 2009

[/code]

#7

Bonjour,

Il semblerait : Tu drop par défaut tout ce que tu forward

Nulle part, tu ne forwarde de DNS … Peut être tu as un DNS sur ton réseau? sinon ça peut pas marcher.

Autre question : Ta machine à deux interfaces (eth1 et eth2) ?

eth0 et eth1 m’aurait semblé plus logique.

Peux-tu poster :

Et le script qui te sers à configurer ton firewall ?

#8

alors pour eth1 et eth2 tout s’explique par le faite que j’ai une carte intégré et une autre rajouté.
Ma carte intégré s’appelle par defaut eth1 et comme ma premiere carte PCI est tombé en panne j’ai change de carte et elle a pris le nom de eth2 tout simplement.

voila le résulta de ipconfig -a :

[code]root@root:~# ifconfig -a
eth1 Lien encap:Ethernet HWaddr 00:19:66:65:E1:D2
inet adr:192.168.1.21 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::219:66ff:fe65:e1d2/64 Scope:Lien
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:325 errors:0 dropped:0 overruns:0 frame:0
TX packets:44 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:22078 (21.5 KiB) TX bytes:2928 (2.8 KiB)
Interruption:201 Adresse de base:0xb400

eth2 Lien encap:Ethernet HWaddr 00:1B:2F:35:9F:29
inet adr:192.168.1.20 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::21b:2fff:fe35:9f29/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10221 errors:0 dropped:0 overruns:0 frame:0
TX packets:3128 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:3405366 (3.2 MiB) TX bytes:529194 (516.7 KiB)
Interruption:193 Adresse de base:0xb800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:22 errors:0 dropped:0 overruns:0 frame:0
TX packets:22 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:2180 (2.1 KiB) TX bytes:2180 (2.1 KiB)

sit0 Lien encap:IPv6-dans-IPv4
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
[/code]

#9

Re

J’ai réuci à me connecter mais par contre il y a un logiciel que je n’arrive pas à connecter.
Je dois normalement ouvrir le port 3727 sur le protocole tcp.
voila ma règle que j’utilise :

eth1 est mon interface côté livebox.

Pourriez vous me dire ou est mon erreur svp ?

Merci par avance

#10

Re,

Ce que je ne comprend pas : Si tu as deux interfaces, comment ce fait il qu’elles soient toutes les deux dans la même plage réseau ?

[code]eth1 Lien encap:Ethernet HWaddr 00:19:66:65:E1:D2
inet adr:192.168.1.21 Bcast:192.168.1.255 Masque:255.255.255.0

eth2 Lien encap:Ethernet HWaddr 00:1B:2F:35:9F:29
inet adr:192.168.1.20 Bcast:192.168.1.255 Masque:255.255.255.0[/code]

Ça me parraît bizarre comme config … Je pense que tu aurais moins de soucis en començant déja par mettre chaque interface dans sa propre plage réseau :

eth1 -> 192.168.1.x/255.255.255.0
eth2 -> 192.168.2.x/255.255.255.0

#11

oui pardon j’avais oublié de spécifier qu’elles n’ait plus sur la même plage
eth1 : 192.168.1.x/255.255.255.0
eth2 : 10.0.0.x/255.255.255.0

#12

Es ce que l’un d’entre vous pourrais m’expliquer comment fonctionne une règle PREROUTING.
Je sais déjà qu’il ne faut pas qu’elle soit trop filtrée sinon dans certain cas elle n’est pas excutée.
Je demande ca car je ne comprend pas pourquoi je n’arrive pas connecter mes logiciel, envoyer/recevoir mes mails.

#13

PREROUTING signifie seulement que la règle spécifiée s’applique avant routage, contrairement à POSTROUTING ou elle s’applique après routage.

En général comme politique par défaut, on DROP(rejette) INPUT & FORWARD et on accèpte OUTPUT (car on part du principe que tout ceu qui a été accepté en entrée est valable en sortie).

Puis on ajoute des règles spécifiques (appelées exceptions), qui vont définir la politique de ton routeur, on ne va accepter que les protocoles/port/@ip/@mac nécessaires.

Dans ton cas :

-A PREROUTING -i eth1 -p tcp -m comment --comment "Gigatribe vers PC" -m tcp --dport 3727 -j DNAT --to-destination 10.0.0.10

Tu effectues là du DNAT, c’est à dire de la translation d’adresse ip de destination.
C’est à dire que tout addresse arrivant sur l’interface eth1 du routeur, utilisant le protocole tcp et le port 3727 se verra attribuer après translation l’adresse d’une des interfaces de ton routeur normalement (à savoir 10.0.0.10).

Je ne sais pas si cette explication peut t’aider, peut-être savais tu déjà tout ça.
Peut-être ai-je dis des erreurs, dans ce cas n’hésitez pas à me corriger.

Bye.

#14

J’ai une auter question (qui pourrais m’aider à trouver le pourquoi de mon logiciel qui ne veux pas ce connecter .
Je tape la commande suivante :

Mais je ne vois pas le nombres de paquets augmenter, cela veut bien dire que mes règles ne sont pas utiliser ?
Comment savoir ce qui bloque mon logiciel ?

#15

Il faut d’abord bien connaitre Netfilter pour maîtriser iptables :
163.32.57.3/blog/63/attachment/nfk-traversal.png

#16

J’ai trouvé ou était mon erreur.
J’avais juste oublié de suprimer une règle de nat dans ma box …
Ma règle était pour mon ancienne IP (192.168.1.x) alors que je suis en 10.0.0.x.

Un grand merci à ceux qui m’ont aidé !